Keylogger ontdekt op meer dan 5.000 WordPress-websites

Dit jaar ontdekte een onderzoek veel WordPress-websites met malware voor het delven van cryptocurrency. Het lijkt erop dat deze malware is geëvolueerd en een keylogger is geworden die informatie verzamelt die bezoekers invoeren tijdens hun bezoeken aan deze websites. Het is al gedetecteerd op meer dan 5.500 WordPress-sites.

Keylogger ontdekt op meer dan 5.000 WordPress-websites

Afgelopen april ontdekte het beveiligingsbedrijf Sucuri deze 5.500 sites die CMS gebruikten dat was geïnfecteerd met malware voor cryptocurrency-mining. Een steeds vaker voorkomende praktijk. Hoewel het erop lijkt dat deze dreiging in de loop van de maanden merkbaar is veranderd.

Keylogger in WordPress

Aanvankelijk gebruikte ik het WordPress functions.php- bestand om verzoeken in te dienen tegen een nep Cloudflare-adres. Zo kon je dankzij een bibliotheek een WebSocket opzetten. Maar dit alles is in de loop van de tijd geëvolueerd. Het lijkt erop dat de mijnbouw van cryptocurrency voorlopig is gestopt. Nu is deze malware veranderd in een keylogger. Dus alle spaties op het web om tekst in te voeren zijn veranderd.

Ze verkrijgen de informatie van de gebruikers en zijn in staat om de inloggegevens van toegang tot de gebruikersprofielen van de webservice en in WordPress te stelen. Dus CMS-beheer kan worden aangetast. Gebruikers wordt aangeraden om hun wachtwoord zo snel mogelijk te wijzigen om mogelijke problemen te voorkomen.

Voor die gebruikers van wie de WordPress-website wordt beïnvloed, is de oplossing om te zoeken naar het bestand functions.php. Zoek daarin de functie add_js_scripts en verwijder deze direct. Zoek vervolgens alle uitspraken waarin deze functie wordt genoemd en verwijder ze ook. Zodra dit is gebeurd, zou het ideaal zijn om de wachtwoorden te wijzigen of toegangsgegevens te openen.